【文章內(nèi)容簡(jiǎn)介】 理 體系 ?周期性的風(fēng)險(xiǎn)評(píng)估、內(nèi)部審核、有效性測(cè)量、管理評(píng)審，是 ISMS規(guī)定的四個(gè)必要活動(dòng)，能確保 ISMS進(jìn)入良性循環(huán)、持續(xù)自我改進(jìn) 信息 安全管理體系 44 信息安全管理體系持續(xù)改進(jìn)的 PDCA循環(huán)過(guò)程 45 ?信息安全管理體系是 PDCA動(dòng)態(tài)持續(xù)改進(jìn)的一個(gè) 循環(huán)體 規(guī)劃和建立 實(shí)施和運(yùn)行 監(jiān)視和評(píng)審 保持和改進(jìn) 輸入 相關(guān)方 信息安全要求和期望 相關(guān)方 受控的信息安全 輸出 45 ?ISMS的核心內(nèi)容可以概括為 4句話 1. 規(guī)定你應(yīng)該做什么并形成文件 ： Plan 2. 做文件已規(guī)定的事情 ： Do 3. 評(píng)審你所做的事情的符合性 ： Check 4. 采取糾正和預(yù)防措施，持續(xù)改進(jìn) ： Act 用 PDCA來(lái)理解什么是信息安全管理體系 46 47 ISO/IEC 27000標(biāo)準(zhǔn) 族 27000~27003 27004~27008 27000 信息安全管理體系 概述和術(shù)語(yǔ) 27001 信息安全管理體系要求 27002 信息安 全 控制措施實(shí) 用規(guī)則 27003 信息安全管理體系 實(shí)施指南 27004 信息安全管理測(cè)量 27005 信息安全風(fēng)險(xiǎn)管理 27006 提供信息安全管理體系審核 和認(rèn)證機(jī)構(gòu)的要求 27007 信息安全管理體系 審核指南 27008 信息安全管理體系 控制措施審核員指南 27001 27002 27000 27006 27005 27003 27004 信息安全管理體系基本原理和詞匯 ? ISO27000標(biāo)準(zhǔn) 族日益 完善，已經(jīng)開(kāi)發(fā) 和 計(jì)劃 開(kāi)發(fā) 的標(biāo)準(zhǔn) 有 60余項(xiàng) ?信息安全等級(jí)保護(hù)也是一種常見(jiàn)的對(duì)組織的信息安全進(jìn)行全面、系統(tǒng)管理的實(shí)施 方法 ?依據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》對(duì)信息安全進(jìn)行全面管理的一套機(jī)制 ?將 信息系統(tǒng)按照 重要性和受破壞危害程度分成五個(gè)安全保護(hù)等級(jí)，不同保護(hù)等級(jí)的系統(tǒng)分別給予不同級(jí)別的保護(hù) ?系統(tǒng) 定級(jí) 、安全建設(shè) /整改 、自查 、等級(jí)測(cè)評(píng) 、 系統(tǒng)備案 和監(jiān)督檢查是信息安全等級(jí)保護(hù)的六個(gè)規(guī)定 活動(dòng) 信息安全等級(jí)保護(hù) 48 ?參照 NIST SP 800進(jìn)行建設(shè) 也 是一種常見(jiàn)的對(duì)組織的信息安全進(jìn)行全面、系統(tǒng)管理的實(shí)施 方法 ? NIST SP 800是由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布的一系列特別出版物（ Special Publications， SP） ，是 關(guān)于計(jì)算機(jī)安全的指南 文檔 ?美國(guó) 《聯(lián)邦信息安全管理法案》（ Federal Information Security Management Act， FISMA），專(zhuān)門(mén)指定 NIST負(fù)責(zé)開(kāi)展信息安全標(biāo)準(zhǔn)、指導(dǎo)方針的制定 NIST SP 800規(guī)范 49 ? SP 80037描述了此系列規(guī)范遵從的 風(fēng)險(xiǎn) 管理 框架 NIST SP 800規(guī)范 50 安 全 控 制監(jiān) 視風(fēng) 險(xiǎn) 管 理 框 架信 息 系 統(tǒng)分 類(lèi)安 全 控 制選 擇安 全 控 制實(shí) 施安 全 控 制評(píng) 估信 息 系 統(tǒng)授 權(quán)起 始 點(diǎn)? SP 80037 給出了遞升 的 風(fēng)險(xiǎn)管理方法 NIST SP 800規(guī)范 51 戰(zhàn) 略 風(fēng) 險(xiǎn)階 梯 1組 織（ 治 理 ）階 梯 2使 命 / 業(yè) 務(wù) 過(guò) 程（ 信 息 和 信 息 流 ）階 梯 3信 息 系 統(tǒng)（ 運(yùn) 行 環(huán) 境 ）戰(zhàn) 術(shù) 風(fēng) 險(xiǎn)? 多 層 全 組 織 的 風(fēng) 險(xiǎn) 管 理? 由 風(fēng) 險(xiǎn) 執(zhí) 行 官 （ 職 務(wù) ） 實(shí) 施 ? 與 業(yè) 務(wù) 體 系 結(jié) 構(gòu) 和 信 息 安 全 體 系 結(jié) 構(gòu) 緊 耦 合? 系 統(tǒng) 開(kāi) 發(fā) 生 命 周 期 的 關(guān) 注 ? 遵 守 紀(jì) 律 和 安 排 的 過(guò) 程? 靈 活 機(jī) 敏 的 執(zhí) 行三 種典型信息安全管理實(shí)施方法 的 區(qū)別 和聯(lián)系 52 應(yīng)用對(duì)象 應(yīng)用特點(diǎn) ISMS 各種類(lèi)型的組織（有體系建立需求） 完全以市場(chǎng)化需求為主，不具備強(qiáng)制性 。以風(fēng)險(xiǎn)管理方法為基礎(chǔ) ， 如果 實(shí)施體系認(rèn)證，必須完全滿(mǎn)足 27001標(biāo)準(zhǔn)要求 等級(jí)保護(hù) 國(guó)家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng) 作為我國(guó)的一項(xiàng)基礎(chǔ)制度加以推行 ， 有一定強(qiáng)制性。 主要 目標(biāo)是有效地提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò) 和重要 信息系統(tǒng)的安全 NIST SP 800 聯(lián)邦機(jī)構(gòu)或非政府組織 與 FIPS不同，是非強(qiáng)制性的。但聯(lián)邦機(jī)構(gòu)應(yīng)采納 FIPS中要求使用的 NIST SP以及 OMB要求的特定 NIST SP。 以風(fēng)險(xiǎn)管理方法為基礎(chǔ) ， 應(yīng)用 時(shí)有一定的 靈活性 課程內(nèi)容 53 知識(shí)體 知識(shí)域 知識(shí)子域 信息安全 管理 體系 信息安全 管理體系建設(shè) 信息安全管理體系認(rèn)證 文檔控制 管理職責(zé) 規(guī)劃與建立 ISMS 信息安全 管理體系基礎(chǔ) 內(nèi)部審核和管理評(píng)審 信息安全 控制措施 實(shí)施 和 運(yùn)行 ISMS 監(jiān)視和評(píng)審 ISMS 保持和改進(jìn) ISMS 知識(shí)域：信息安全管理體系基礎(chǔ) 知識(shí)子域： 管理職責(zé) ?理解 管理者履行管理職責(zé)對(duì)成功實(shí)施信息安全管理體系（ ISMS）的重要推動(dòng)作用 ?掌握實(shí)施 ISMS過(guò)程中管理者應(yīng)承擔(dān)的管理職責(zé)的主要內(nèi)容 54 管理者履行管理職責(zé)的重要作用 ?管理層 切實(shí) 履行相應(yīng)的管理職責(zé)是 ISMS能夠成功實(shí)施的最關(guān)鍵 因素， 會(huì) 對(duì) ISMS建設(shè)產(chǎn)生推動(dòng)作用 ?管理者提供足夠的資源是對(duì) ISMS建設(shè)實(shí)質(zhì)性的 支持 55 主要管理職責(zé) ?承擔(dān) 并履行 職責(zé) ? 制定并頒布信息安全 方針 ? 確保 ISMS目標(biāo)和相應(yīng)的計(jì)劃得以 制定 ? 建立信息安全的角色和 職責(zé) ? 向組織傳達(dá)滿(mǎn)足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的 重要性 ? 決定風(fēng)險(xiǎn)可接受級(jí)別和風(fēng)險(xiǎn)可接受準(zhǔn)則 ? 確保 ISMS內(nèi)部審核的 執(zhí)行 ? 實(shí)施 ISMS的管理 評(píng)審 ?提供足夠 資源 ? 資金 ? 能勝任相關(guān)工作的人員（通過(guò)提供培訓(xùn)、教育） 56 知識(shí)域：信息安全管理體系基礎(chǔ) 知識(shí)子域： 文檔控制 ?理解 文檔化對(duì)實(shí)施 ISMS的重要性 ?理解風(fēng)險(xiǎn)評(píng)估結(jié)果是編制 ISMS文件的依據(jù) ?了解對(duì) ISMS文件和記錄進(jìn)行保護(hù)和控制的常規(guī) 措施 57 文檔化對(duì)實(shí)施 ISMS的 重要性 ?文檔包括文件 (如方針、策略、標(biāo)準(zhǔn)、指南等 )和記錄 ?文件 是 ISMS的 一個(gè)關(guān)鍵要素 ， 是 組織 內(nèi)部的“法”，也 是 ISMS審核的依據(jù) ?記錄 是文件 執(zhí)行情況的客觀證據(jù)，為各項(xiàng)控制措施是否有效實(shí)施、 ISMS是否有效運(yùn)行提供客觀 證據(jù) ?層次化的文檔是 ISMS建設(shè)的直接體現(xiàn)，也是 ISMS建設(shè)的成果 之一 ?應(yīng)對(duì)文件和記錄進(jìn)行控制 58 文件編制依據(jù) ?風(fēng)險(xiǎn)評(píng)估的結(jié)果是文件編制的直接依據(jù) ?有風(fēng)險(xiǎn)的地方才需要管理和 控制 ?依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果編制的文件體系才是最適合的、最需要的 59 易于管理和維護(hù)的 ISMS層次化 文檔結(jié)構(gòu) 方針 、 手冊(cè)等 管理制度 、 程序 、 策略文件等 操作規(guī)范 、 規(guī)程 、 作業(yè)指導(dǎo)書(shū) 、 模板文件等 計(jì)劃 、 表格 、 報(bào)告 、 各種運(yùn)行 /檢查記錄 、 日志文件等 一級(jí)文件 二級(jí)文件 三級(jí)文件 四級(jí)文件 ?一級(jí)文件：方針性 文件 ?二級(jí)文件：信息安全管控 程序、管理 規(guī)定性 文件 ?三級(jí)文件：操作 指南、作業(yè) 指導(dǎo)書(shū) 類(lèi) ?四級(jí)文件：體系運(yùn)行的各種 記錄 下級(jí)文件應(yīng)支持上級(jí) 文件 60 文件控制 ?文件 在發(fā)布以前，應(yīng)得到相應(yīng) 級(jí)別管理 層的 批準(zhǔn) ?定期評(píng)審 、更新并再次得到批準(zhǔn)，當(dāng)發(fā)生重大變化或重大信息安全事件 時(shí)應(yīng)及時(shí)評(píng)審 和 修訂 ?對(duì) 文件的修訂和修訂狀態(tài)、版本進(jìn)行 標(biāo)識(shí) ， 確保 員工使用文件的最新 版本 ?標(biāo)明 每份文件的密級(jí)和分發(fā)范圍 61 記錄 控制 ?明確 記錄 的保存環(huán)境 要求 ?明確 保存 期限 要求 ?明確 訪問(wèn) 控制 要求 ?明確 檢索要求 （ 比如 ，支持按特定條件進(jìn)行查詢(xún)和 統(tǒng)計(jì) ） 62 知識(shí)域：信息安全管理體系基礎(chǔ) 知識(shí)子域： 內(nèi)部審核和管理評(píng)審 ?了解 內(nèi)部審核的概念，以及內(nèi)部審核的目的、實(shí)施主體、實(shí)施方式、審核準(zhǔn)則 ?了解管理評(píng)審的概念，以及管理評(píng)審的目的、實(shí)施主體、實(shí)施對(duì)象、實(shí)施方式 63 內(nèi)部審核 ?是 用于內(nèi)部目的，由組織自己或以組織的名義所進(jìn)行的 審核 ?也 稱(chēng)第一方 審核 ?是 ISMS能夠持續(xù) 改進(jìn)的重要?jiǎng)恿?之一 ?組織 應(yīng)按照既定的周期實(shí)施 ISMS內(nèi)部 審核 64 內(nèi)部審核 ?目的 ? 確定 ISMS的控制目標(biāo)、控制措施是否符合相關(guān)標(biāo)準(zhǔn)和法律法規(guī)以及合同條款的 要求 ? 確定 各項(xiàng) 控制措施是否得到有效的實(shí)施和 保持 ? 確定 員工 的業(yè)務(wù)行為是否符合組織 ISMS文件所規(guī)定的要求 ?實(shí)施主體 ? ISMS內(nèi)審小組 ?實(shí)施方式 ? 文件審核、現(xiàn)場(chǎng)審核 ?審核準(zhǔn)則 ? 相關(guān)標(biāo)準(zhǔn)、法規(guī)法規(guī)、合同 條款 、 ISMS文件 65 管理評(píng)審 ?為實(shí)現(xiàn)已建立的目標(biāo) ， 而進(jìn)行的確定管理體系的適宜性、充分性和有效性的活動(dòng) ?也 是 IS